AIによる脆弱性発見がゼロデイをはじめとするCVEの件数を増加させており、今後企業はより大規模なパッチチューズデーへの備えが求められます。
6月のパッチチューズデーのセキュリティアップデートが公開され、SAPは4件のクリティカルな脆弱性を修正、Microsoftは200件を超えるCVEに対処しました。Microsoftの対処リストには、3件のゼロデイ修正、「緊急」と評価された32件のパッチ、そして早急な評価が必要なその他の高リスク脆弱性が含まれています。また、すでに悪用が確認されている古い脆弱性も1件あり、Microsoftが悪用の可能性が高いと指摘するエンタープライズ製品向けのパッチも複数含まれています。Adobeもエンタープライズソフトウェアにおけるクリティカルな脆弱性を修正しました。
脆弱性件数の急増
パッチチューズデーにおけるCVE件数として過去最多を記録しました。5月のアップデート以降、Microsoftが帯域外(アウトオブバンド)でパッチを適用した悪用済み脆弱性は、この数に含まれていません。
Microsoftは最近、AIツールの利用拡大の影響を受け、月次アップデートにおける脆弱性件数は今後も増加し続けると顧客に伝えています。Microsoft Security Response Centerが公開した5月の投稿には、「大規模なリリースが標準となる中でも、アップデートの提供方法や判断基準は一貫して変わりません。パッチチューズデーは引き続きオンプレミスソフトウェアの定期的なリズムとして機能し続けます」と記されています。また同投稿では、今後アウトオブバンドアップデートの増加に備えるよう顧客に呼びかけています。
Microsoftセキュリティ部門のシニアソフトウェアエンジニアであるNirwan Dograによると、2026年5月と6月は、従来の低速なテスト・展開型パッチ適用に課題を突きつける「新常態」を体現しているといいます。
「200件超のCVE数は異常事態ではありません。これが新たな基準となったのです。AIを活用した脆弱性発見(ファジング、静的解析、亜種ハンティング)により、『バグが存在する』から『バグが発見される』までの期間が劇的に短縮されています」と同氏はメールで述べました。
さらに懸念されるのは、DograによればAIツールの活用によって、ハイパーバイザーコードやKerberosなど従来は手動監査が困難とされていたコンポーネントの脆弱性も多数発見されるようになっているという点です。同氏は組織に対し、リスクベースの脆弱性優先順位付け、パッチ適用パイプラインの自動化、そして悪用される可能性の高い脆弱性への集中対応への移行を推奨しています。
TrendAIのZero Day Initiative(ZDI)でHead of Threat Awarenessを務めるDustin Childsもこれに同意し、「サイバーセキュリティにとって、重大な局面を迎える夏が近づいています。Microsoftの脆弱性210件という記録破りの6月は、AIが制御不能なスケールで脆弱性発見を加速させているという明確な警告です」と述べました。
Microsoftが優先対処すべき修正
公開開示されているため、ゼロデイとして評価されている脆弱性が3件あります。そのうち2件は、研究者Nightmare EclipseによるWindowsへの対抗的開示に関連しており、大きな注目を集めています。具体的には、CVE-2026-45586(CTFMON)とCVE-2026-50507(BitLockerバイパス)です。3件目はCVE-2026-49160で、各種Windowsサービスが使用するWindows HTTPプロトコルスタックにおける、CVSS 7.8評価のゼロデイDoS(サービス拒否)脆弱性です。
セキュリティチームは、CVE-2026-42897のパッチにも注目すべきです。これは5月に当初開示されたExchange Serverの脆弱性で、現在も悪用が続いています。当初は回避策で対処されていましたが、今回正式にパッチが提供されました。
「悪用の可能性が高い」とされる15件の脆弱性リストの筆頭は、CVE-2026-47291です。これはhttp.sysにおけるCVSS 9.8のカーネルレベルRCE脆弱性であり、攻撃者はIIS、WinRM、Windows Admin Centerなど複数の重要なエンタープライズアプリケーションを標的にするために悪用できます。
また、「高」評価のHyper-V VMエスケープ脆弱性であるCVE-2026-47652、CVE-2026-45641、CVE-2026-45607にも注意が必要です。オンプレミスネットワークを運用する組織は、Active Directory KerberosコアにおけるRCE脆弱性CVE-2026-47288と、Active Directory Domain Services(AD DS)に影響するCVSS 8.8のCVE-2026-45648にも注目すべきでしょう。
SAPのクリティカル脆弱性4件
SAPの6月のSecurity Patch Dayでは、NetWeaver、Commerce Cloud、SAP S/4HANA、Business Objects Business Intelligence Platformをはじめとするコアエンタープライズ製品を対象に、15件のパッチが提供されました。
このうち4件が「クリティカル」と評価されており、最も注目を集めているのはCVE-2026-27671です。これはApplication Server ABAPおよびABAPプラットフォームにおけるCVSS 9.8のメモリ破損脆弱性です。セキュリティ企業PathlockのSAPセキュリティアナリスト、Jonathan Strossは、この脆弱性について「認証不要でありながら、機密性・完全性・可用性のすべてに同時に影響を与える可能性があります。悪用に成功した場合、ABAPインスタンス全体とそれに接続するすべてのシステムへの信頼性が損なわれる恐れがあります」と述べています。
「これは今回のバッチの中でも最も深刻な脆弱性の一つです。攻撃に認証が不要であり、機密性・完全性・可用性のすべてに同時に影響を与える可能性があります。悪用に成功した場合、ABAPインスタンス全体とそれに接続するすべてのシステムへの信頼性が損なわれる恐れがあります。
これに次ぐのが、SAP NetWeaver Application Server ABAPおよびABAPプラットフォームにおけるSAML認証のXML署名ラッピング脆弱性CVE-2026-44748(CVSS 9.9)です。この脆弱性を悪用すると、低権限の認証済み攻撃者が署名済みSAMLメッセージを傍受し、偽造されたID情報を含むXMLペイロードを改ざんして送信できます。
残るクリティカル評価の脆弱性は、SAP Commerce CloudおよびSAP Data HubにおけるCVSS 9.1のSpring Securityの弱点CVE-2026-22732と、Application Server Java(Webコンテナ)におけるCVSS 9.0のディレクトリトラバーサル脆弱性CVE-2026-40128です。
今月のアップデートでは、「高」評価の脆弱性も2件修正されています。SAP Commerce Cloud内のApache Tomcatにおける複数の弱点に対処するCVSS 7.4のCVE-2026-29145と、SAP NetWeaver ABAPプラットフォームのApplication Server ABAPに影響する認証チェック欠如の脆弱性CVE-2026-44751です。
Adobe、エンタープライズ脆弱性をパッチ修正
Adobeの6月アップデートでは、Reader、ColdFusion、Experience Manager Forms、InDesign、InCopy、Substance 3D Sampler、Content Credentials SDK、Dreamweaver、Format Plugins、Adobe Campaign Classicにわたる123件の脆弱性が修正されました。
